Está en la página 1de 32

INFORME

AUDITORIA DE RED






Detalle del cliente

Cliente: Bioetica
CIF/NIF: X123456789
Dirección: C/ Desengaño, 21
CP: 28045
Provincia: Madrid
Población: Madrid
Mail: email@bioetica.com


Detalle del documento

Tipo de documento Informe
Título del documento Informe_Auditoria_CarlosCuadrosRodriguez.docx
Descripción Informe Auditoria
Ref. 139/18
Clasificación Confidencial
Fecha de creación 06/02/2018



Historial del documento

Fecha Versión Autor Descripción
Carlos Cuadros
18/02/2018 1.0 Versión inicial
Rodríguez



El presente documento incluye información de carácter CONFIDENCIAL O
RESERVADA, y como tal, está sujeto a secreto profesional, estando destinado
para su uso exclusivo a X Security y a su cliente. Si usted, no es el destinatario de
este documento, queda por la presente notificada que la retención, distribución
o copia del presente documento y/o la información contenida en el mismo está
estrictamente prohibida, salvo autorización escrita de X Security.


ÍNDICE

1. RESUMEN EJECUTIVO 4
1.1 RESUMEN 4
1.1.1 ENFOQUE 4
1.2 RESUMEN COMERCIAL 5
1.2.1 ALCANCE 5
1.2.2 ESTADO 5
1.3 RESUMEN VULNERABILIDADES PLATAFORMA 6

2. INFORME TÉCNICO 10
2.1 PROCESOS REALIZADOS 10
2.1.1 GATHERING 10
2.1.2 RECONOCIMIENTO LAN 10
2.1.3 SEGURIDAD PERIMETRAL 11
2.1.4 SEGURIDAD FÍSICA 16
2.1.5 SEGURIDAD LÓGICA 17
2.1.6 CUMPLIMIENTO DE LAS LEYES VIGENTES 26
2.1.7 ANÁLISIS DE SISTEMAS DE PREVENCIÓN LÓGICOS 26
2.1.8 REDES INALÁMBRICAS 28
2.1.9 BUENAS PRÁCTICAS 30

3. CONCLUSIONES 32

1. RESUMEN EJECUTIVO

1.1 Resumen
A petición de nuestro cliente, Bioetica, X Security ha realizado la Auditoria de Red con
la información proveniente de un posible formulario comercial rellenado y enviado a X
Security.

A continuación le mostramos el informe de la auditoria de red simulada realizada el día
del 06/02/2018. El informe técnico muestra el nivel, la descripción, la alerta y las
recomendaciones principalmente, sobre todas las vulnerabilidades detectadas y
validadas a nuestro cliente.

El propósito general de la auditoria de red simulada es determinar las posibles
vulnerabilidades de seguridad en las configuraciones de los servidores ye
infraestructura de nuestros clientes, no siendo esta un ejemplo real en producción.

1.1.1 Enfoque
El enfoque que se ha seguido ha sido el siguiente:
Ø Realizar exploraciones generales para identificar las áreas potenciales de
exposición y los servicios que pueden actuar como puntos de entrada.
Ø Realizar exploraciones específicas e investigaciones manuales dirigidas a validar
vulnerabilidades.
Ø Identificar y validar vulnerabilidades.
Ø Rango de vulnerabilidades, basado en el nivel de amenaza, pérdida potencial,
probabilidad de explotación y fallo en la disponibilidad.
Ø Realizar actividades de investigación y desarrollo suplementarios para apoyar el
análisis.
Ø Identificar las vulnerabilidades críticas y sugerir recomendaciones para
solucionar dichas vulnerabilidades.
Ø Desarrollar recomendaciones a largo plazo para mejorar la seguridad real del
cliente.
Ø Transferencia de nuestro conocimiento técnico al cliente.
Ø Visualizar el cumplimiento de las leyes vigentes en materia de seguridad
informática.
Ø Comprobar y recomendar un sistema de seguridad física que garantice la
seguridad de la información.

1.2 Resumen Comercial


1.2.1 Alcance
El alcance de esta auditoría de red se ha limitado a la siguiente dirección:
Delegación tipo: Única sede empresarial
Red interna del cliente: 192.168.1.0/24

1.2.2 Estado
A continuación se muestra un resumen global del estado del cliente, así como las
posibles consecuencias que podrían producirse con el nivel actual del cliente.

Nivel de Seguridad: Crítico
Vulnerabilidad Grave Alerta
Sistema Operativo obsoleto Facilidad para tomar control de los equipos.
Posibilidad de fuga de información debido al escaso
SSL nivel de cifrado en las comunicaciones de la página
web.

1.3 Resumen Vulnerabilidades Plataforma


Se ha llevado a cabo un análisis de vulnerabilidades de la página web de Bioetica con la
herramienta Nessus. En la siguiente tabla se presenta un cuadro resumen de todas las
vulnerabilidades detectadas, agrupadas por nivel de importancia.

Nivel Vulnerabilidades
Critica 4
Alta 10
Media 18
Baja 3
Info 32
Total 67

De manera más visual, se observa en el siguiente gráfico todas las vulnerabilidades.

Vulnerabilidades

Crítica

Alta

Media

Baja

Info




A continuación se muestra un detalle de todas las vulnerabilidades detectadas y
validadas dentro de la red. Cabe destacar que se han excluido de este listado las
vulnerabilidades con un nivel “info”, ya que no suponen un riesgo para Bioetica.

Vulnerabilidad Nivel Alerta
Se dispone de una versión sin soporte del lenguaje
PHP Unsupported Version Detection Crítica
de aplicación web usado.
OpenSSL Unsupported Crítica Se está ejecutando un servicio no compatible.
OpenSSL 1.0.1 < 1.0.1o ASN.1 Encoder Existe una vulnerabilidad de ejecución remota de
Crítica
Negative Zero Value Handling RCE código.
Se ejecuta una versión de OpenSSL 1.0.1 anterior a
OpenSSL 1.0.1 < 1.0.1u Multiple
Crítica 1.0.1u. Por lo tanto, se ve afectado por varias
Vulnerabilities (SWEET32)
vulnerabilidades.

Vulnerabilidad Nivel Alerta


Se ejecuta una versión de OpenSSL 1.0.1 anterior a
OpenSSL 1.0.1 < 1.0.1g Multiple
Alta 1.0.1g. Por lo tanto, se ve afectado por varias
Vulnerabilities (Heartbleed)
vulnerabilidades.
Se ejecuta una versión de OpenSSL 1.0.1 anterior a
OpenSSL 1.0.1 < 1.0.1h Multiple
Alta 1.0.1h. Por lo tanto, se ve afectado por varias
Vulnerabilities
vulnerabilidades.
Se ejecuta una versión de OpenSSL 1.0.1 anterior a
OpenSSL 1.0.1 < 1.0.1i Multiple
Alta 1.0.1i. Por lo tanto, se ve afectado por varias
Vulnerabilities
vulnerabilidades.
Se ejecuta una versión de OpenSSL 1.0.1 anterior a
OpenSSL 1.0.1 < 1.0.1s Multiple
Alta 1.0.1s. Por lo tanto, se ve afectado por varias
Vulnerabilities (DROWN)
vulnerabilidades.
Apache 2.2.x < 2.2.33-dev / 2.4.x < Se ejecuta una versión de Apache la cual se ve
Alta
2.4.26 Multiple Vulnerabilities afectado por varias vulnerabilidades.
El servidor web remoto utiliza una versión de PHP
PHP < 5.3.12 / 5.4.2 CGI Query String
Alta que se ve afectada por una vulnerabilidad de
Code Execution
ejecución remota de código.
El servidor web remoto utiliza una versión de PHP
PHP < 5.3.9 Multiple Vulnerabilities Alta
que se ve afectada por múltiples vulnerabilidades.
El servidor web remoto utiliza una versión de PHP
PHP < 5.3.11 Multiple Vulnerabilities Alta
que se ve afectada por múltiples vulnerabilidades.
El servidor web remoto utiliza una versión de
Apache 2.2.x < 2.2.28 Multiple
Alta Apache que se ve afectada por múltiples
Vulnerabilities
vulnerabilidades.
El servidor web remoto utiliza una versión de
Apache 2.2.x < 2.2.34 Multiple
Alta Apache que se ve afectada por múltiples
Vulnerabilities
vulnerabilidades.
Se ejecuta una versión de OpenSSL 1.0.1 anterior a
OpenSSL 1.0.1 < 1.0.1m Multiple
Media 1.0.1m. Por lo tanto, se ve afectado por varias
Vulnerabilitie s
vulnerabilidades.
Se ejecuta una versión de OpenSSL 1.0.1 anterior a
OpenSSL 1.0.1 < 1.0.1n Multiple
Media 1.0.1n. Por lo tanto, se ve afectado por varias
Vulnerabilities (Logjam)
vulnerabilidades.
No se puede confiar en el certificado X.509 del
servidor. Esta situación puede ocurrir de tres
SSL Certificate Cannot Be Trusted Media
formas diferentes, en las que la cadena de
confianza puede romperse.
La cadena de certificados X.509 para este servicio
no está firmada por una autoridad de certificación
reconocida. Si el host remoto es un host público en
SSL Self-Signed Certificate Media
producción, esto anula el uso de SSL, ya que
cualquiera podría establecer un ataque man-in-
the-middle contra el host remoto.
Se ejecuta una versión de OpenSSL 1.0.1 anterior a
OpenSSL 1.0.1 < 1.0.1p Multiple
Media 1.0.1p. Por lo tanto, se ve afectado por varias
Vulnerabilities
vulnerabilidades.
Se ejecuta una versión de OpenSSL 1.0.1 anterior a
OpenSSL 1.0.1 < 1.0.1f Multiple
Media 1.0.1f. Por lo tanto, se ve afectado por varias
Vulnerabilities
vulnerabilidades.
OpenSSL 1.0.1 < 1.0.1t Multiple Se ejecuta una versión de OpenSSL 1.0.1 anterior a
Vulnerabilities Media 1.0.1t. Por lo tanto, se ve afectado por varias
vulnerabilidades.
El servidor web remoto admite los métodos TRACE
HTTP TRACE / TRACK Methods Allowed Media y / o TRACK. TRACE y TRACK son métodos HTTP
que se utilizan para depurar conexiones de

Vulnerabilidad Nivel Alerta


servidor web.
El servidor DNS remoto responde a cualquier
solicitud. Es posible consultar los servidores de
nombres (NS) de la zona raíz ('.') Y obtener una
respuesta que es más grande que la solicitud
DNS Server Spoofed Request
Media original. Al suplantar la dirección IP de origen, un
Amplification DDoS
atacante remoto puede aprovechar esta
'amplificación' para lanzar un ataque de
denegación de servicio contra un host de terceros
que usa el servidor DNS remoto.
El atributo 'commonName' (CN) del certificado SSL
SSL Certificate with Wrong Hostname Media presentado para este servicio es para una máquina
diferente.
De acuerdo con su banner, la versión de PHP 5.x
instalada en el host remoto es 5.x anterior a 5.3.11
PHP PHP_RSHUTDOWN_FUNCTION
Media o 5.4.x anterior a la 5.4.1 y, por lo tanto, se ve
Security Bypass
potencialmente afectada por una vulnerabilidad de
omisión de seguridad.
Se ejecuta una versión de OpenSSL 1.0.1 anterior a
OpenSSL 1.0.1 < 1.0.1j Multiple
Media 1.0.1j. Por lo tanto, se ve afectado por varias
Vulnerabilities (POODLE)
vulnerabilidades.
Se ejecuta una versión de OpenSSL 1.0.1 anterior a
OpenSSL 1.0.1 < 1.0.1k Multiple
Media 1.0.1k. Por lo tanto, se ve afectado por varias
Vulnerabilities (FREAK)
vulnerabilidades.
Se ejecuta una versión de OpenSSL 1.0.1 anterior a
OpenSSL 1.0.1 < 1.0.1q Multiple DoS Media 1.0.1q. Por lo tanto, se ve afectado por varias
vulnerabilidades.
Según su banner, la versión de OpenSSL que se
ejecuta en el host remoto es anterior a 1.1.0. Por
lo tanto, se ve afectado por una vulnerabilidad,
conocida como SWEET32, en los algoritmos 3DES y
Blowfish debido al uso de cifras débiles de 64 bits
por defecto. Un atacante de hombre en el medio
OpenSSL < 1.1.0 Default Weak 64-bit que tiene recursos suficientes puede explotar esta
Media
Block Cipher (SWEET32) vulnerabilidad, a través de un ataque de
"cumpleaños", para detectar una colisión que filtra
el XOR entre el secreto fijo y un texto llano
conocido, permitiendo la divulgación del texto
secreto, como las cookies HTTPS seguras, y
posiblemente resultando en el secuestro de una
sesión autenticada.
El servidor web remoto utiliza una versión de
Apache 2.2.x < 2.2.27 Multiple
Media Apache que se ve afectada por múltiples
Vulnerabilities
vulnerabilidades.
Se ejecuta una versión de OpenSSL 1.0.1 anterior a
OpenSSL 1.0.1 < 1.0.1r Multiple
Media 1.0.1r. Por lo tanto, se ve afectado por varias
Vulnerabilities (Logjam)
vulnerabilidades.
El servicio remoto utiliza una cadena de
certificados SSL que se ha firmado utilizando un
algoritmo hash criptográficamente débil (por
SSL Certificate Signed Using Weak ejemplo, MD2, MD4, MD5 o SHA1). Se sabe que
Media
Hashing Algorithm estos algoritmos de firma son vulnerables a los
ataques de colisión. Un atacante puede explotar
esto para generar otro certificado con la misma
firma digital, lo que permite que un atacante se

Vulnerabilidad Nivel Alerta


enmascare como el servicio afectado.
El host remoto está ejecutando un daemon POP3
que permite inicios de sesión sin formato sobre
conexiones no encriptadas. Un atacante puede
descubrir nombres de usuario y contraseñas
POP3 Cleartext Logins Permitted Baja
olfateando el tráfico al daemon POP3 si se usa un
mecanismo de autenticación menos seguro (por
ejemplo, el comando USER, AUTH PLAIN, AUTH
LOGIN).
El host remoto está ejecutando un servidor SMTP
que anuncia que permite inicios de sesión sin cifrar
sobre conexiones no encriptadas. Un atacante
SMTP Service Cleartext Login Permitted Baja puede descubrir nombres de usuario y contraseñas
olfateando el tráfico hacia el servidor si se utiliza
un mecanismo de autenticación menos seguro (es
decir, INICIAR SESIÓN o LISTA).
Al menos uno de los certificados X.509 enviados
por el host remoto tiene una clave que es más
corta que 2048 bits. De acuerdo con los estándares
SSL Certificate Chain Contains RSA Keys
Baja de la industria establecidos por el Foro de la
Less Than 2048 bits
autoridad de certificación / navegador (CA / B), los
certificados emitidos después del 1 de enero de
2014 deben ser de al menos 2048 bits.

2. INFORME TÉCNICO
2.1 Procesos realizados
A continuación se describen los procesos detallados de los puntos principales
realizados durante la auditoría de red simulada.

Al ser un caso simulado, vamos a trabajar sobre una red no productiva con un rango de
red 192.168.1.0/24 compuesto por un equipo servidor con Windows 2008 Server, 2
Windows XP, 3 Windows 8 y un equipo Windows 10. Otros datos usados serán
obtenidos de la auditoría web realizada a la empresa Bioetica, a quien va dirigida esta
simulación.

Esta simulación será ejecutada sobre sistemas reales virtualizados.

2.1.1 Gathering
Esta fase consta de un análisis de la información pública de la empresa en diferentes
fuentes, quien siendo o no consciente de ella, puede generar graves trastornos
mediante técnicas muy usadas como la ingeniería social, que permite a un atacante de
manera sencilla y sin apenas conocimientos informáticos, lograr información privada
empresarial, poniendo en riesgo la seguridad de toda la empresa, incluso del personal
que la compone a nivel físico.

Hemos realizado un análisis del sitio web a través de “whatweb”, donde hemos
obtenido la dirección IP, la ubicación, así como todos los plugins que conforman la
página web. Podemos observar que se está usando PHP en su versión 5.2.17 o el
servidor Apache en su versión 2.2.26.

En la siguiente imagen se muestra una captura del resultado de la anterior ejecución.



2.1.2 Reconocimiento LAN
Como comentamos anteriormente, al ser un caso simulado vamos a suponer que la
red aparece con un rango de red interna 192.168.1.0/24 compuesto por un equipo
servidor con Windows 2008 Server, 2 Windows XP, 3 Windows 8 y 1 Windows 10.

En casos reales, estos datos serán ofrecidos por un sencillo procedimiento realizado
por el delegado de zona de Bioetica.

10

2.1.3 Seguridad perimetral

2.1.3.1 Detección de puertos abiertos


Se ha llevado a cabo un análisis de los puertos, donde se han detectado una serie de puertos
abiertos. En la siguiente imagen se recogen los resultados obtenidos:

2.1.3.2 Análisis de vulnerabilidades


Al ser una simulación, se entregarán datos no relevantes para dos de las máquinas
analizadas con algunas de sus principales vulnerabilidades, siendo estas genéricas en
sus sistemas operativos.

Se ha realizado un primer análisis de vulnerabilidades en un equipo Windows XP, con
la ayuda de Nessus. Se ha obtenido una totalidad de 6 vulnerabilidades críticas, 1 de
nivel alto, 2 medios y 24 informativas.

11

En la siguiente imagen se observan las vulnerabilidades más graves.



Hemos realizado el mismo análisis, esta vez para el equipo Windows Server 2008. Se han
obtenido una totalidad de 3 vulnerabilidades críticas, 3 de nivel alto y 57 informativas.



En la siguiente imagen se observan las vulnerabilidades más graves.

12

2.1.3.3 Test de intrusión


Salvamos la lista de vulnerabilidades detectadas y las importamos en una aplicación de
explotación mediante exploits, en este caso Armitage.

Hemos realizado un ataque sobre un equipo Windows XP. Vamos a mostrar un
ejemplo de un posible ataque donde se realiza una captura de pantalla en la máquina
víctima. Esto es solo un ejemplo de todos los posibles ataques que un hacker puede
realizar y, con ello, robar información de la empresa.

Una vez que tenemos el equipo en Armitage, buscamos ataques sobre la misma.



Una vez que ha sido atacada, podemos lanzar sobre la máquina diferentes explotis.

13



En este caso, vamos a hacer un ejemplo de tomar una captura de pantalla de la máquina
víctima.

14

Aquí se nos muestra la captura de pantalla tomada desde Armitage.




Comprobamos en la máquina víctima que, efectivamente, es la pantalla actual.

15

2.1.4 Seguridad física


Para la protección de la información, la seguridad física corresponde a uno de los
pilares básicos. Un sistema defectuoso en la seguridad física de los sistemas puede
generar en un importante trastorno para la integridad y disponibilidad de la entidad
empresarial afectada, tanto en su estructura, como en sus servicios y generar una mala
imagen corporativa. Un experto en seguridad informática puede vulnerar los sistemas,
pero cualquiera puede vulnerar la seguridad física si no se cuentan con las medidas
preventivas oportunas.

Dentro de la seguridad física se contemplan tres cimientos fundamentales que pasarán
a analizarse a continuación.

Se ha tomado constancia de que las instalaciones de Bioetica no dispone de ningún
mecanismo de los que se describen a continuación, por lo que se recomienda aplicar lo
comentado.

2.1.4.1 Video-vigilancia
Los sistemas de video-vigilancia suponen el principal valor dentro de la seguridad física
de un entorno empresarial. Estas además de ser un factor preventivo, suponen un alto
valor como prueba ante multitud de incidencias de seguridad.

Por su bajo coste, se recomienda no sólo vigilar los accesos a las instalaciones, es
fundamental tener una vigilancia permanente en los servidores y sistemas que
contienen la información de la empresa, siendo esta su valor real en el mercado.

Debemos ser conscientes en todo momento que la información de la empresa, así
como los datos de nuestros proveedores y clientes, constituyen no sólo el mayor
potencial empresarial, sino que es el punto débil de cara a recibir chantajes o multas
de cientos de miles de euros. Las leyes vigentes nos obligan a proteger como sea
necesaria toda aquella información que sea de carácter personal, generando graves
sanciones su incumplimiento, ya sea por descuido o por no poner los medios
necesarios para su salvaguarda.

2.1.4.2 Sistemas de control de acceso
Son todos aquellos sistemas que limiten el acceso físico al personal no autorizado a
cada parte de la empresa que contenga información y servicios básicos para su
correcto funcionamiento.

Es importante que en todo momento quede registrado el tránsito de personal físico a
las zonas de riesgo administrativo para poder así depurar responsabilidades. Un claro
ejemplo es la limitación de acceso a los CPD o salas de control de proceso de datos de
la empresa, que debe tener el acceso totalmente prohibido al personal no técnico.

Existen multitud de sistemas de control de acceso, siendo el más popular el
biométrico. Además de este, disponemos en la actualidad de sistemas más eficientes
como el reconocimiento facial, de iris o de retina.

16


2.1.4.3 Sistemas de actuación
Los sistemas de actuación lo componen todos aquellos medios que puedan ejecutar
una acción de prevención y respuesta directa. Los dos principales factores que lo
conforman son las alarmas y el personal de seguridad. Cualquiera de estos dos factores
cubriría este pilar base de la seguridad física, siendo más efectivo la obtención de
ambos medios de forma simultánea.

2.1.5 Seguridad lógica
La seguridad lógica la constituyen todos aquellos programas que protegen una parte o
sector de nuestra infraestructura de red.

2.1.5.1 Firewall
Los Firewall o cortafuegos son la primera barrera de seguridad de cara a atacantes
externos. Una buena política de acceso de ACLs o listas de control de acceso
implementado en un firewall, puede evitar un gran porcentaje de problemas para
nuestra red.

Se recomienda disponer de un firewall único de salida a internet configurado
exclusivamente con los puertos necesarios para la correcta ejecución de la labor
empresarial.

El Firewall debe ser un punto de paso obligatorio en todas las comunicaciones de
todos los dispositivos de la red.

Además es importante disponer de un Firewall de host correctamente configurado en
cada uno de los equipos internos de la red.

Nos encontramos que no todos los equipos disponen de Firewall, como es en el caso
del equipo Windows XP.

17



En la siguiente imagen vemos como el equipo Windows Server dispone del firewall.



2.1.5.2 Antivirus
Todos los sistemas auditados disponen de sistemas antivirus correctamente
actualizados.

Se recomienda usar en el servidor un antivirus con gestión centralizada para una
mayor eficacia ante posibles descuidos en las actualizaciones por parte de los usuarios.

Es importante disponer de la misma distribución de software antivirus para todos los
equipos y que estas sean controladas por un técnico especializado desde un servidor
dedicado a la seguridad.

18



Todos los equipos de red, dispongan o no de conexión externa, deben disponer de un
sistema antivirus especial para el entorno correspondiente.

Se considera de suma importancia su inmediata actualización, previa aprobación de
ser posible, por el técnico informático o departamento correspondiente de la empresa,
que con anterioridad, habrán realizado las pruebas pertinentes en los diferentes
sistemas soportados por la entidad empresarial.

Como recomendación por nuestra parte, indicamos que la actualización de los
sistemas antivirus de escritorio, no deben ser delegados a las funciones de los usuarios
final del equipo, sino que debe ser realizada por parte del personal técnico, al ser
posible desde un servidor antivirus previa aprobación.

19

En la auditoría nos encontramos que todos los sistemas de escritorio se encuentran


correctamente actualizados, lo que supone menos de 3 días laborales desde la última
actualización entregada por el proveedor del software.

2.1.5.3 Antimalware
Los Malware o código malicioso, son programas diseñados para infiltrarse o dañar un
sistema. Estos generan problemas de tráfico en las redes, incluso envío de información
privada al exterior, para evitarlo existen infinidad de aplicaciones.

Se ha comprobado que, actualmente, la sociedad no dispone de ningún programa de
este estilo, por lo que se recomienda la implantación de alguno de ellos.

Estos programas suelen generar infinidad de vulnerabilidades y molestias a los
usuarios. Para evitarlo es conveniente usar programas especialmente diseñados para
eliminarlos e impedir su ejecución e instalación.

Existen diferentes variedades de malware, entre ellas las más extendidas son:
• Rootkits: son códigos maliciosos que generan vulnerabilidades en los sistemas
con la intención de disponer posteriormente un control de la máquina por
parte del creador de dicho código.
• Scareware: se encargan de generar la incertidumbre al usuario final haciéndole
creer que dispone de un virus potencialmente peligroso para que compre un
producto que le protegerá de esa amenaza.
• Spyware: se encargan de recopilar información privada para enviarla al
atacante. Posteriormente esta información es usada para dañar los sistemas o
estafar al usuario o empresa afectada.
• Adware: generan publicidad en los sistemas, cambian la página web de inicio
de los navegadores, los buscadores por defecto, etc. Esta publicidad genera una
sobrecarga de la funcionabilidad de los sistemas y redes.

2.1.5.4 Sistemas de cifrado

2.1.5.4.1 Certificado OpenSSL o certificado de empresa


De cara a las transacciones y actuaciones con el exterior especialmente, debe usarse
técnicas de cifrado de la información, como es un certificado digital que garantice
nuestra identidad y cifre nuestras comunicaciones. Este certificado debe ser exigido
también a nuestros proveedores.

La suplantación de identidades genera pérdidas económicas de miles de millones
todos los años, ocasionando además, grandes daños en la imagen de muchas
empresas.

Para evitar esto se recomienda el uso de certificados digitales, que garantizan nuestra
identidad en cualquier tipo de transacción.

20

Estos certificados digitales, además disponen de un sistema de encriptación que


permitirá que nuestras comunicaciones no sean fácilmente interceptadas e incluso
alteradas.

2.1.5.4.2 Comunicaciones externas sobre SSH
Siendo nuestra red segura, podemos encontrarnos con comunicaciones externas, ya
sea con clientes o proveedores en las que sus redes sean vulnerables o incluso estén ya
vulneradas. Para evitar esto es imprescindible el uso de comunicaciones SSH de cara al
exterior.

Estas comunicaciones deben ser exigidas a todos aquellos que interactúen con nuestra
red empresarial de alguna forma.

Un claro ejemplo de interactuación con nuestros clientes y proveedores son los
sistemas CRM. Los CRM son una herramienta muy potente de cara a la fidelización de
los clientes, pero si esa comunicación no es segura, puede generar el efecto contrario,
pudiendo un atacante transmitirnos justo todo lo contrario a lo deseado por el cliente,
o simplemente obtener datos privados.

El protocolo SSH evitará justamente que estos ataques se lleven a cabo, creando una
encriptación y autentificación segura en las comunicaciones.

2.1.5.4.3 Uso de mail certificado y encriptado
Todo mail que contenga información de carácter personal o de importancia estratégica
para la empresa, debe estar encriptado y firmado bajo certificado digital, ya sea en un
uso interno, como externo.

Ya todos los programas de correo permiten la configuración y uso de certificados
digitales.

Es muy importante crear una comunicación segura tanto en la empresa, como con
nuestros clientes y proveedores. Para ello existen los certificados.

Hay dos clases de certificados principalmente, los que están reconocidos por una
entidad certificadora y los que no.

Los certificados validados dan seguridad al cliente por estar demostrada su autoría de
una forma eficiente.

La otra opción es generar nuestros propios certificados, pero no darán una alta
confianza a todos aquellos que realmente no nos conozcan.

21

2.1.5.5 Políticas de grupo


Las políticas de grupo o GPO, son directrices a las que todos los usuarios se acogen una
vez autentificados contra el servidor del dominio de red mediante el LDAP. A
continuación mostramos las más importantes en materia de seguridad, no siendo estas
las únicas.

2.1.5.5.1 Contraseñas de doble HASH controladas por GPO
Ante diferentes sistemas para vulnerar las contraseñas mediante fuerza bruta, deben
usarse de forma obligatoria, y por lo tanto por política de grupo contraseñas complejas
y con doble HASH, lo que hace prácticamente imposible descifrar una clave por este
sistema.

Obtener usuarios y mails es una tarea realmente sencilla. Los hackers usan mucho una
técnica llamada brute force o fuerza bruta que consiste en lanzar contra un usuario
concreto un diccionario de palabras clave.

Con esta técnica la contraseña siempre se logra, pero depende de la complejidad de
nuestra contraseña, tardará más o menos en obtenerla.

Disponer de contraseñas de más de 14 caracteres genera lo que se llama doble hash,
generando una dificultad exponencial al atacante. Esto quiere decir que un hacker que
desee obtener una clave compleja y de doble hash, podrá obtenerla, pero tardará
cientos de años con los equipos más modernos en lograrlo, lo que al final es como
bloquear esa opción.

2.1.5.5.2 Complejidad de contraseñas de acceso a red
La dificultad en las contraseñas es un punto importante dentro de la seguridad
informática.

Disponer de una o más letras mayúsculas, una o más letras minúsculas, uno o más
número y uno o más símbolos dificulta enormemente el descifrado de las contraseñas.
Debe existir una política de grupo que exija que la complejidad de la contraseña sea
forzada.

Esta dificultad genera de manera exponencial el tiempo de obtención de un crackeo de
la contraseña, inhabilitando la mayoría de diccionarios que no cuentan con los
caracteres ascii.

2.1.5.5.3 Políticas de contraseñas de red
Siendo las dos políticas anteriores las más importantes de cara a la seguridad de la
contraseña, deben existir otras que aumenten su capacidad, por ejemplo una que
solicite el cambio cada un tiempo prudencial u otra que solicite contraseña en los
equipos cada vez que se bloquea el equipo, número máximo de intentos, etc.

Se recomienda que la contraseña debe cambiarse cada un máximo de 90 días para que
esta sea realmente segura.

22


Es recomendable además limitar el acceso a los sistemas con un máximo de 3 a 5
intentos antes de bloquearla.

Se ha comprobado que la sociedad dispone de una política de contraseñas, donde se
puede observar en la siguiente imagen.



2.1.5.5.4 Existencia usuario Administrador / root
El 99% de los ataques de fuerza bruta se lanzan sobre los usuarios administrador y root
que vienen por defectos en los entornos Windows y Linux respectivamente.

Para evitar estos ataques base, deben crearse otros usuarios administradores y
deshabilitar los mencionados por otros de mayor complejidad, y si es posible, que no
indiquen la función que ejecutan.

En el caso de Linux, cambiar el usuario root puede causar muchos problemas si no se
hace de la forma adecuada. En estos casos debe crearse y probarse concienzudamente
el nuevo usuario que hará las funciones de administrador e incluirlo en el archivo
sudoers con todos los privilegios.

2.1.5.5.5 Eliminación de privilegios de instalación en Desktops
Cualquier organización empresarial debe disponer de un plan de empresa donde las
tareas este bien definidas. No es lógico poner a un soldador a administrar la
facturación o poner al gerente a limpiar los cristales de la oficina.

Esto que perece tan evidente, no suele ser el caso en los temas informáticos.

23


Debe quedar muy claro que los que realmente tienen conocimientos de informática,
son los que deben trabajar la parte informática, y nadie más.

Muchos usuarios disponen de su ordenador en casa, instalan aplicaciones, juegos y se
manejan incluso muy bien. Pensar que ser un usuario medio o avanzado es suficiente
para instalar cuanto deseemos en los equipos empresariales es un grave error.

La mayor parte de pérdida de información y daños creados por virus en las empresas
del mundo es debido a esta aptitud de los usuarios. La pérdida de información en un
equipo del hogar puede ser molesta, pero en una empresa puede generar grandes
pérdidas económicas, llegando incluso a afectar a toda la red informática.

Para evitar esto, los usuarios deben acceder a equipos instalados previamente con el
kit de herramientas necesarias para la elaboración de sus funciones laborales, no
teniendo que instalar ningún software adicional. Para ello deben tener limitados los
privilegios de instalación, evitando así riesgos en la ejecución de aplicaciones que
generen vulnerabilidades o incluso troyanos. En el caso de necesitar alguna aplicación,
deben solicitar al departamento técnico la instalación, previa autorización, del
software a instalar.

2.1.5.5.6 Prohibir autentificar en local, sólo contra DC
Para poder ofrecer políticas de seguridad, debe estar bloqueada la opción de
autentificación local en los equipos de la red empresarial, evitando así la instalación de
código no autorizado. Sólo el soporte técnico debe tener cuenta de acceso local, el
resto de usuarios deben logarse contra una base de datos LDAP o de dominio.

2.1.5.5.7 LOPD en equipos informáticos
Todos los equipos de la red deben cumplir con las leyes vigentes. La LOPD indica que
cuando un usuario accede al entorno profesional, debe ser informado de ciertos
puntos a cumplir. Para ello tiene que existir una política que informe al usuario cuando
autentifique en los equipos de todos esos puntos.

2.1.5.6 Controlador de dominio
Todos los sistemas de información y servicio empresarial deberían regirse por una base
de datos de autentificación bajo normativas y políticas fuertes de seguridad. Para ello
se usan los controladores de dominio.

Para este tipo de funciones, se recomienda un entorno de servidor, siendo por ejemplo
Windows 2012 Server el idóneo, o en su defecto una distribución UNIX o Linux de
servidor.

24

2.1.5.7 Securizar la BIOS


Para evitar arranques desde distribuciones Live, tanto USB, como de cualquier otro
método extraíble, todas las BIOS de los equipos deben tener seleccionadas los discos
de sistema como único medio de arranque.

Todas las BIOS deben de estar protegidas en su acceso con contraseñas seguras para
evitar su modificación.

2.1.5.8 Copias de seguridad
La importancia de un sistema estable de copias de seguridad es básica para la
supervivencia de una empresa. No se ha detectado ninguna política de backup en la
sociedad.

Se recomienda implantar un procedimiento de copias de seguridad, además el uso de
soportes o medios extraíbles de forma que las copias de seguridad permanezcan
también fuera del entorno laboral ante casos de fuerza mayor que deben ser
contemplados en el plan de contingencia de la entidad.

NOTA: Es un alto riesgo de seguridad usar aplicaciones de seguridad en el mismo
equipo físico que las aplicaciones de servicios.

De cara a inundaciones, robos, incendios y otras situaciones inesperadas, las copias de
seguridad deben ser almacenadas en una ubicación externa a la red empresarial,
además de estar encriptadas.

Es necesario valorar el coste de la externalización de las copias de seguridad para
valorar cada cuanto tiempo debe ser almacenada en el exterior las copias de seguridad
en función del valor de la información, para así poder valorar los diferentes niveles de
necesidad ante una recuperación.

Estos valores y metodología deben estar especificados en el plan de contingencia de
toda empresa, estando considerado como una actuación de alta prioridad.

El lugar de almacenamiento de las copias de seguridad debe adecuarse a su
importancia y privacidad de los datos. Hay pequeñas empresas que simplemente
almacenan las copias en el hogar de uno de los responsables de esa información. Otras
grandes empresas como IBM, recomiendan que estas sean almacenadas en cajas de
seguridad en un banco.

25

2.1.6 Cumplimiento de las leyes vigentes

2.1.6.1 Política de destrucción de información


Cada vez que se dé de baja un equipo o un dispositivo de almacenamiento de
información, este debe ser formateado a bajo nivel y ser posteriormente destruido. En
el caso de equipos bastará con la destrucción del cabezal de los discos duros.

2.1.6.2 LOPD
Toda información de carácter personal, tanto de clientes, como de proveedores debe
estar registrada en la AGPD (Agencia Española de Protección de Datos de Carácter
Personal). Además la empresa debe disponer de los correspondientes consentimientos
inequívocos, un libro de control, y seguir la normativa vigente en protección de
carácter personal.

2.1.6.3 LSSI
Toda empresa debe cumplir la LSSI o Ley de Servicios de la Sociedad de la Información
y del Comercio Electrónico para evitar sanciones y especialmente garantizar la
confianza con nuestros clientes.

2.1.7 Análisis de sistemas de prevención lógicos

2.1.7.1 IDS /IPS


Los IDS son programas o sistemas detectores de intrusos. Estos sistemas son de gran
utilidad para los técnicos en seguridad informática a la hora de administrarnos
información sobre nuestra red, de las partes de la red que debemos fortificar o
fortalecer e incluso ver que fallos existen una vez acceda un hacker a ella.

Existen dos grupos de IDS principalmente:
• HIDS o detectores de intrusos de host. Estos son programas que instalados en
un servidor nos muestra los intentos de acceso y de ataques a vulnerabilidades
de un sistema en concreto.
• NIDS o detectores de intrusos de red. Estos sistemas nos muestran la
información de intrusiones e intentos de ataques de toda nuestra red
informática.

Ambos sistemas de IDS nos muestra detalladamente la actividad que realizan los
hackers cuando intentan atacarnos, tanto de su origen y procedencia (país, dirección
IP, etc), como de los pasos que sigue, mostrándonos incluso la ejecución de comandos
usada para cada ataque.

26

2.1.7.2 HoneyPots
Los HoneyPots nos permiten generar falsas máquinas o sistemas dentro de nuestra red
informática para engañar o desviar la atención de los atacantes sobre estas. El
principal objetivo de estos sistemas es crear máquinas vulnerables, de forma que una
vez producida una intrusión, el atacante intente acceder a una de esas falsas máquinas
en vez de a una de producción.

Un claro ejemplo podría ser insertar una falsa máquina con el sistema Windows 2003
Server en nuestra red. Cualquier atacante que lo vea, será de lo primero que intente
atacar por su simplicidad para obtener el control total sobre este tipo de sistemas.

El uso de los HoneyPots es de gran utilidad para los administradores de sistemas si
disponen de un IDS. Con ambas herramientas el administrador detectar y cerrar las
vulnerabilidades encontradas, antes de que el atacante acceda a un sistema en
producción de vital importancia para la red empresarial.

2.1.7.3 Garantía de la integridad
La integridad de nuestros datos es una parte esencial de la seguridad de nuestro
entorno empresarial. Para poder asegurar que la información es realmente fiable,
debemos garantizar su autenticidad.

Un sencillo ejemplo podría ser un documento de Word redactado por el gerente de la
empresa que debe ser enviado posteriormente a un importante cliente. Si no
garantizamos su integridad y un empleado descontento cambio o añade información
de forma perjudicial para la entidad, esto nos supondrá grandes pérdidas económicas.

Existen diversas herramientas para garantizarnos que la información no ha sido
modificada o alterada de forma intencional o accidental. Una de las herramientas más
usadas es Tripwire, que nos avisa cuando un archivo ha sido alterado.

2.1.7.4 Sistemas anti Brute Force (ataques de fuerza bruta)
Hay aplicaciones que se hacen imprescindibles en una red empresarial. Un ejemplo es
FailBan o programas similares, que bloquean a los ataques que usan técnicas de
fuerza bruta.

Los ataques de fuerza bruta consisten en el uso de diccionarios de claves o contraseñas
que atacan un sistema o aplicación del que conocemos el usuario.

La mayoría de las bases de datos vienen por defecto con un usuario administrador que
casi nunca es modificado. Esto mismo ocurre con los router, los sistemas operativos e
infinidad de aplicaciones. Para ello es conveniente modificar ese usuario en cada una
de las aplicaciones y sistemas cuando nos es posible.

Programas como FailBan hacen que esos ataques de fuerza bruta queden
automáticamente bloqueados, impidiendo que la técnica más usada por los hackers
quede totalmente inactiva en nuestros sistemas.

27


2.1.7.5 Gestión diaria de logs del sistema
Los sistemas de servidor nos proporcionan amplia información sobre conflictos y
problemas tanto del software, como del hardware y la seguridad. El departamento
técnico debe tener como primera labor a diario, la revisión de los logs del sistema y
tomar las medidas oportunas.

2.1.7.6 Syslog de los sistemas
Los registros del sistema nos proporcionan información tanto preventiva, como
informativa. Para ello es necesario que esta información se encuentre totalmente
protegida en un equipo de red accesible exclusivamente por los técnicos del sistema.

Esta información nos avisará con antelación de fallos de red e incluso de intentos de
ataques.

Los syslogs disponen de información amplia y configurable de toda nuestra red, desde
el acceso de nuestros usuarios a diferentes recursos, como los avisos de sistemas,
aplicaciones y servicios de cara a tomar medidas preventivas.

La visualización diaria de los logs del sistema, debe ser una tarea obligada para los
administradores del sistema de cualquier red empresarial.

2.1.8 Redes inalámbricas
Las conexiones Wifi son el mayor punto de debilidad de las empresas. Los hackers
suelen empezar por este tipo de medios a la hora de atacar una red dada su facilidad
para encontrar acceso a la información.

2.1.8.1 Cifrado
El protocolo de seguridad y cifrado de la información transmitida por redes wireless
debe ser siempre WPA2, siendo este el único que puede ofrecer ciertas garantías de
seguridad por su robustez.

Se recomienda, en base a las posibilidades de la entidad, no usar redes inalámbricas
salvo necesidad real de estas.

En caso de darse esta necesidad, realizar un estudio de señal, de forma que la señal
sea lo más baja posible en los entornos externos de la empresa, he incluso dentro de
ella en las zonas innecesarias. Un buen método es el uso de inhibidores de frecuencias
en las zonas periféricas.

Debido a las necesidades empresariales, en muchas ocasiones se hace necesario el uso
de redes wifi.

28

Mientras que los protocolos de autentificación WEP y WPA generan una clave sencilla
de descifrar mediante captura y comparativa de paquetes, WPA2 aumenta su
robustez, haciéndola mucho más compleja de obtener.

2.1.8.2 Contraseña robusta
El uso de ataques a redes Wifi con WPA2 se centra en los ataques de captura y
descifrado del tráfico emitido en base a claves almacenadas o generadas por
diccionarios de palabras clave. Es por ello que la clave debe contener una fortaleza y
robustez, además de no ser conocida por el personal no técnico.

Las características de la contraseña deben ser las siguientes para poder garantizar una
alta fiabilidad:
• Mínimo de 14 caracteres.
• Uso de al menos una letra mayúscula.
• Uso de al menos una letra minúscula.
• Uso al menos de un número.
• Uso al menos de un carácter.
• No disponer del nombre de la empresa o marca en su contenido.
• Ser cambiada cada 90 días máximo.

2.1.8.3 WPS
El WPS nos permite generar un código PIN de ocho números en las comunicaciones
Wifi que podamos recordar de forma sencilla. Muchos routers y puntos de acceso
traen esta opción configurada por defecto. De nada sirven las políticas de contraseña si
WPS no está deshabilitado.

Siempre debe estar deshabilitada la opción WPS, la cual añade a la contraseña una
nueva vía de acceso a la red inalámbrica fácilmente hackeable, al ser siempre un
código PIN de 8 caracteres numéricos, lo que extremadamente fácil de obtener.

29

2.1.9 Buenas prácticas

2.1.9.1 Eliminación de privilegios de instalación en Desktops


Cualquier organización empresarial debe disponer de un plan de empresa donde las
tareas este bien definidas. No es lógico poner a un soldador a administrar la
facturación o poner al gerente a limpiar los cristales de la oficina.

Esto que perece tan evidente, no suele ser el caso en los temas informáticos.

Debe quedar muy claro que los que realmente tienen conocimientos de informática,
son los que deben trabajar la parte informática, y nadie más.

Muchos usuarios disponen de su ordenador en casa, instalan aplicaciones, juegos y se
manejan incluso muy bien. Pensar que ser un usuario medio o avanzado es suficiente
para instalar cuanto deseemos en los equipos empresariales es un grave error.

La mayor parte de pérdida de información y daños creados por virus en las empresas
del mundo es debido a esta aptitud de los usuarios. La pérdida de información en un
equipo del hogar puede ser molesta, pero en una empresa puede generar grandes
pérdidas económicas, llegando incluso a afectar a toda la red informática.

Para evitar esto, los usuarios deben acceder a equipos instalados previamente con el
kit de herramientas necesarias para la elaboración de sus funciones laborales, no
teniendo que instalar ningún software adicional. Para ello deben tener limitados los
privilegios de instalación, evitando así riesgos en la ejecución de aplicaciones que
generen vulnerabilidades o incluso troyanos. En el caso de necesitar alguna aplicación,
deben solicitar al departamento técnico la instalación, previa autorización, del
software a instalar.

2.1.9.2 Plan de contingencia
Ante cualquier catástrofe inesperada, la empresa debe ser capaz de iniciar sus funciones de la
forma más rápida y eficaz posible nuevamente. Para ello debe existir un amplio plan de
contingencia que explique detalladamente los pasos a tomar, indicando la responsabilidad de
cada empleado ante cada acción a tomar.

2.1.9.3 Gestión de incidencias
En toda empresa debe existir un informe de incidencias técnicas. Esto nos permite
solventar cualquier problema de forma rápida y analizar donde se encuentran los fallos
más habituales para poder solucionarlos.
2.1.9.4 Procedimiento ante bajas, despidos o cambios laborales
Los empleados descontentos son la mayor amenaza para una empresa. Para evitar
conflictos legales, fuertes sanciones económicas y pérdida de la confianza
empresarial, debe existir bien definido un procedimiento ante bajas y despidos de
empleados. Es fundamental que una vez confirmado un despido o baja, las cuentas del
usuario sean deshabilitadas de forma inmediata durante un tiempo, en el que se
obtendrá la información necesaria, antes de la eliminación total de los usuarios.

30

2.1.9.5 Manuales marcha atrás


En muchas ocasiones, una simple actuación puede generar un grave trastorno
empresarial. Una simple actualización del sistema puede causar fallo en los equipos,
impidiendo su arranque. Es por esto que es de vital importancia el uso de un sistema
de preproducción, pero aún así, en muchas ocasiones esto no es suficiente. Para
agilizar los procesos que se puedan originar ante estas causas, siempre que se realicen
cambios en los equipos de red base o de importancia para las funciones laborales y
comerciales, debe previamente crearse un manual de marcha atrás, de forma que en
caso de fallo, pueda solventarse la situación de forma rápida hasta que estudiemos el
caso particular.

2.1.9.6 Control de inventario
El robo de un simple ordenador o disco duro de nuestra empresa, puede causar el
cierre de la misma. Un empleado descontento o simplemente que quiera sacar dinero
con amenazas, puede ir difundiendo la información de clientes, causándonos graves
sanciones económicas y pérdida de prestigio y por lo tanto de clientes. Para evitar esto
y además tener un mayor control del material empresarial se realizan los inventarios,
donde se pondrán el mayor número de datos posible. En el caso de ordenadores la
dirección Mac es imprescindible ante robos, al igual que el número de serie. Es
fundamental que el control de inventario disponga de un control de fechas en las que
se introducen modificaciones para saber así, cuando se actualizó por última vez.

2.1.9.7 Formación del personal
La formación en prevención es fundamental para los empleados. El 80% de los
problemas de seguridad informática se producen desde el interior, ya sea por
desconocimiento o intencionado. Para evitar un gran porcentaje en esta problemática,
los empleados deben estar concienciados mediante una formación base en seguridad
informática y disponer desde que entran a trabajar de un manual de buenas prácticas,
además de tener un acuerdo firmado de privacidad y responsabilidad.

2.1.9.8 Encriptación y autentificación de soportes
Previa autorización de dirección, cada vez que un dispositivo empresarial abandone las
instalaciones, debe disponer de un sistema de encriptación de toda la información,
evitando que ante robos dicha información caiga en manos no deseadas.

2.1.9.9 Política de destrucción de información
Cada vez que se dé de baja un equipo o un dispositivo de almacenamiento de
información, este debe ser formateado a bajo nivel y ser posteriormente destruido. En
el caso de equipos bastará con la destrucción del cabezal de los discos duros.

31

3. Conclusiones

La experiencia nos ha demostrado que realizar un esfuerzo enfocado a abordar los
problemas descritos en este informe, protegerán los activos más importantes de su
empresa y ayudaran a prevenir posibles chantajes o sanciones económicas.

Proteger nuestra organización contra una violación de la información puede ahorrarle
cientos de miles de euros y ayudarle a conservar la lealtad de sus clientes,
empleados y la confianza de los accionistas.

El traslado de la actividad de la mayoría de los actores de esta sociedad al ciberespacio,
ha aumentado drásticamente su exposición a nuevos riesgos y amenazas. Por ello el
concepto ciberseguridad, cuyo objetivo es la protección de las organizaciones y las
instituciones contra los ataques que los cibercriminales lanzan para comprometer sus
sistemas de información a nivel de hardware o software y contra el robo o destrucción
de la información que almacenan o gestionan.

La ciberseguridad ya es una prioridad en la agenda de los gobiernos y de las empresas
de todo el mundo. En 2014, nueve grandes organizaciones sobre diez han tenido algún
tipo de brecha de seguridad con un coste medio anual para las organizaciones que se
sitúa cerca de los 15 millones de dólares. Un 46% de las organizaciones espera sufrir
un ataque a lo largo del 2016.

Es importante entender que los ciberdelincuentes pueden atacar a cualquier tipo de
empresa, siendo indiferente su tamaño o sector. En X Security conocemos que tipo de
ataque son los más comunes en cada tipo de empresa para así poder tomar decisiones
mejor documentadas a la hora de construir las defensas.

Recordarles que la seguridad de la información no es algo que incumba únicamente
al departamento de TI. También debe ser importante para la directiva y el resto de los
empleados, sea cual sea su función.

Por todo esto llegamos a la conclusión de que el nivel de seguridad de su empresa
necesita mejorar urgentemente. Esperamos que los temas de este informe sean
abordados a la mayor brevedad posible.

Quedando a la espera
Reciban un cordial saludo

Director General X Security
Carlos Cuadros Rodríguez

32

También podría gustarte